بسم الله الرحمن الرحيم
Assalamu'alaikum, kali saya akan menjelaskan tentang standard access list. Sesuai namanya, access list atau list yang berisi hak akses. Jadi, maksudnya adalah list yang berisi hak akses untuk paket data dari sebuah network, apakah diperbolehkan untuk melewati router(yang di set access listnya) atau tidak.
Jika paket data diperbolehkan lewat, maka akan diforward atau diteruskan oleh si router, namun jika tidak, maka paket data akan didrop atau dibuang. Standard access list ini, hanya bisa melakukan penyaringan berdasarkan IP address atau IP network sumbernya saja.
*oke, langsung saja
Topologi
 |
| Topologi |
Pertama ;
- Buatlah topologinya
- Konfigurasi agar semua device dapat saling terhubung. Konfigurasi, dengan menggunakan routing, gunakan saja routing yang sederhana seperti Static ataupun EIGRP, yang penting semua device dapat saling terhubung dengan baik
- Tentukan tujuan dari konfigurasi Standard ACL ini
#Tujuan :
Jika anda takut lupa, atau ingin melihat interface yang anda gunakan, centang saja Always Show Port Labels.
Konfigurasi Standard Access-Lists
Jadi, tujuan konfigurasi kita kali ini, kita akan membuat supaya packet data dari network 192.168.1.0/24 tidak bisa sampai ke network 11.11.11.0/30. Dengan kata lain, kita akan melarang, mendrop, atau membuang paket data dari network 192.168.1.0/24 sebelum mencapai/sampai ke network 11.11.11.0/30.
Karena tadi ada kata-kata mendrop dan membuang, maka sekarang pertanyaan adalah "siapakah yang mendrop atau membuang paket data tersebut?". Dalam konfigurasi kali ini, kita buat Multilayer Switchlah yang akan membuangnya, atau dengan kata lain, disitulah kita akan mengkonfigurasi access listnya. Apakah bisa di Multilayer Switch(MLS)? Bisa, karena di MLS sudah memiliki fitur yang cukup banyak, hampir semua konfigurasi pada router bisa dilakukan di MLS.
Kenapa harus di MLS? Karena, sebaiknya untuk konfigurasi access list, ditempatkan pada device yang paling dekat dengan network yang dilindungi, kalau dalam kasus ini ya... network 11.11.11.0/30.
Dilindungi? dilindungi dari apa? Ya, dilindungi dari packet data yang berasal dari network 192.168.1.0/24.
Karena tadi ada kata-kata mendrop dan membuang, maka sekarang pertanyaan adalah "siapakah yang mendrop atau membuang paket data tersebut?". Dalam konfigurasi kali ini, kita buat Multilayer Switchlah yang akan membuangnya, atau dengan kata lain, disitulah kita akan mengkonfigurasi access listnya. Apakah bisa di Multilayer Switch(MLS)? Bisa, karena di MLS sudah memiliki fitur yang cukup banyak, hampir semua konfigurasi pada router bisa dilakukan di MLS.
Kenapa harus di MLS? Karena, sebaiknya untuk konfigurasi access list, ditempatkan pada device yang paling dekat dengan network yang dilindungi, kalau dalam kasus ini ya... network 11.11.11.0/30.
Dilindungi? dilindungi dari apa? Ya, dilindungi dari packet data yang berasal dari network 192.168.1.0/24.
1. Enable atau aktifkan standard access list pada MLS.
Ket :
- Angka 1 dibelakang perintah access-list itu berguna untuk menandakan, bahwa access list yang kita gunakan adalah access list yang Standard.
Access list ini dibagi menjadi 2 yaitu : Standard dan Extended.
Dalam access list ada ACL number(sebut aja kaya gitu biar keren^^). Dalam ACL number ini, ada range angka yang digunakan untuk Standard dan ada yang untuk Extended, range angka untuk Standard adalah 1-99, sedangkan untuk Extended adalah 100-199. Itulah mengapa ada angka 1 pada perintah diatas.
Dalam access list ada ACL number(sebut aja kaya gitu biar keren^^). Dalam ACL number ini, ada range angka yang digunakan untuk Standard dan ada yang untuk Extended, range angka untuk Standard adalah 1-99, sedangkan untuk Extended adalah 100-199. Itulah mengapa ada angka 1 pada perintah diatas.
- deny pada perintah diatas adalah hak akses yang kita berikan untuk paket data dari network(yang ada pada perintah diatas) 192.168.1.0.
Dalam access list, ada 3 hak akses yang bisa kita berikan untuk paket data dari sebuah network, yaitu :
- Deny = untuk memutus, membuang atau melarang paket data dari suatu Network untuk melewati device yang di set access listnya(MLS)
- Permit = Hak akses ini kebalikan dari Deny, yaitu untuk membolehkan paket data dari suatu source
- Remark = untuk menandai ACL dengan menggunakan (max)100 characters
- 192.168.1.0 adalah network yang akan diatur hak akses paket datanya.
- 0.0.0.255, (menurut saya)ini sama fungsinya dengan netmask, namun bisa dibilang hanya penulisannya saja yang dibalik.
- 0.0.0.255, (menurut saya)ini sama fungsinya dengan netmask, namun bisa dibilang hanya penulisannya saja yang dibalik.
Contoh :
jika netmask dari suatu network adalah 255.255.255.252 maka disini kita tulis 0.0.0.3.
255.255.255.0 > 0.0.0.255
255.255.255.223 > 0.0.0.32
Ya.., intinya ini hanya masalah kurang-kurangan saja lah . . .(menurut saya^^)
2. Membuka jalur untuk paket data dari network yang lain
Jika kita tadi telah melarang paket data dari network 192.168.1.0/24, agar paket data network lain tidak ikut dilarang atau dibuang, maka sekarang kita buka akses untuk paket data dari semua network yang ada dalam topologi kecuali network yang tadi sudah di set.
any?Apa itu any?
any?Apa itu any?
Itu artinya semua-_-, jadi kalau permit any = perbolehkan semua(kecuali network yang sudah diset).
3. Tentukan interface yang akan anda set untuk access list
Sekarang coba anda perhatikan lagi topologi di awal. Letak dari network 192.168.1.0/24(network yang dilarang paket datanya), MLS(tempat konfigurasi access listnya), letak dari network 11.11.11.0/30(network yang dilindungi), dan interface-interface yang digunakan oleh MLS.
Sekarang coba anda bayangkan pergerakan data, jika anda melakukan ping dari PC(network 192.168.1.0) ke server(network 11.11.11.0).
Dari gambaran diatas, kita sudah sedikit mengerti tentang pergerakan data yang akan terjadi. Sebelumnya kita sudah mengkonfigurasi access list di MLS, maka, MLS tersebutlah yang akan kita jadikan acuan untuk melihat pergerakan data ini.
Konfigurasi access list terdapat di MLS, dan konfigurasi access list kali ini adalah untuk melarang/memutus. Maka, logikanya adalah packet data(dari network 192.168.1.0) akan dibuang/terputus di MLS, sebelum mencapai network yang kita lindungi(11.11.11.0). Sekarang, agar konfigurasi access list ini lebih spesifik atau lebih jelas, kita harus mengatur, di(interface) manakah packet data tersebut akan diputus atau dibuang.
Untuk menentukan hal tersebut, sebelumnya kita harus mengetahui, dimanakah data akan masuk(in) ke MLS(tempat konfigurasi access list), dimana data akan keluar(out) dari MLS(tempat konfigurasi access list). Anda bisa melihatnya pada gambar diatas, sebagai contoh. Jika kita sudah mengetahui dimanakah data akan in dan out. Sekarang silahkan anda tentukan, dimanakah anda ingin memutus (arus)pergerakan data. Hasilnya akan sama, yaitu sama-sama terputus, namun agak berbeda, yaitu terputus dimana?
Sekarang, anda pilih, dimanakah anda akan memutus jalurnya, di(interface) Gate in, Gate out atau keduanya. Hasilnya akan sama, namun perbedaannya, jika anda memutusnya di interface(Gate out), maka packet data tetap bisa mencapai interface(Gate in) dan interface(Gate out), namun tidak akan bisa lebih dari itu atau dengan kata lain, tidak akan sampai ke server. Jika anda memutusnya di interface(Gate in), maka packet data sudah terputus dari interface(gate in), dengan kata lain, interface(gate in)nya saja sudah tidak tercapai, apalagi interface(gate out) dan seterusnya. Jika anda memutusnya di kedua-duanya, maka ini bisa dibilang pertahanan berlapis. Jadi, jika seandainya paket data tersebut bisa melewati interface(gate in), maka paket data tersebut masih tetap diputus di (gate out).
Penjelasan :
Istilah gate in dan gate out ini, hanyalah karangan saya sendiri, untuk mempermudah dalam menjelaskan. Jadi, istilah-istilah ini, bukanlah istilah baku.
Konfigurasi
Konfigurasi access list di interface(gate in).
Verifikasi
- Lakukan ping dari PC(network 192.168.1.0) ke Server, interface(gate in) pada MLS dan cek show access-lists pada MLS.
Seperti itulah kurang lebih hasil yang seharusnya terjadi. Jika anda perhatikan, ada tulisan reply from 17.8.16.2, IP address tersebut menandakan : di MLS, paket data yang dikirimkan tadi, dibuang.
Test ini membuktikan bahwa, packet data dari network 192.168.1.0 sudah tidak bisa mencapai interface yang sudah di set access listnya.
Jika anda lihat, ada tulisan 20 match(es), itu berarti ada 20 paket data yang berhasil di block atau dibuang dengan adanya access list ini. Bagaimana bisa tahu seperti itu? karena letak tulisan 20 match(es) itu berada di baris deny. Kalau seandainya berada di baris permit, maka artinya adalah ada 20 paket data yang diperbolehkan lewat atau diforward oleh access list ini.
Kenapa bisa sampai 20 packet data? Karena saya sudah melakukan test ping sebanyak 5x dari PC. 1x anda melakukan ping dari pc = anda mengirim 4 packet data, dan saya sudah 5x, jadi totalnya ada 20. Kalau anda, yang baru melakukan ping sebanyak 2x, kemungkinan besar, hanya terdapat 8 packet data yang terblok dan muncul di verifikasi.
Konfigurasi access list terdapat di MLS, dan konfigurasi access list kali ini adalah untuk melarang/memutus. Maka, logikanya adalah packet data(dari network 192.168.1.0) akan dibuang/terputus di MLS, sebelum mencapai network yang kita lindungi(11.11.11.0). Sekarang, agar konfigurasi access list ini lebih spesifik atau lebih jelas, kita harus mengatur, di(interface) manakah packet data tersebut akan diputus atau dibuang.
Untuk menentukan hal tersebut, sebelumnya kita harus mengetahui, dimanakah data akan masuk(in) ke MLS(tempat konfigurasi access list), dimana data akan keluar(out) dari MLS(tempat konfigurasi access list). Anda bisa melihatnya pada gambar diatas, sebagai contoh. Jika kita sudah mengetahui dimanakah data akan in dan out. Sekarang silahkan anda tentukan, dimanakah anda ingin memutus (arus)pergerakan data. Hasilnya akan sama, yaitu sama-sama terputus, namun agak berbeda, yaitu terputus dimana?
Penjelasan :
Istilah gate in dan gate out ini, hanyalah karangan saya sendiri, untuk mempermudah dalam menjelaskan. Jadi, istilah-istilah ini, bukanlah istilah baku.
Konfigurasi
Konfigurasi access list di interface(gate in).
- Lakukan ping dari PC(network 192.168.1.0) ke Server, interface(gate in) pada MLS dan cek show access-lists pada MLS.
 |
| PC > Server |
 |
| PC > interface(gate in) MLS |
 |
| MLS |
Kenapa bisa sampai 20 packet data? Karena saya sudah melakukan test ping sebanyak 5x dari PC. 1x anda melakukan ping dari pc = anda mengirim 4 packet data, dan saya sudah 5x, jadi totalnya ada 20. Kalau anda, yang baru melakukan ping sebanyak 2x, kemungkinan besar, hanya terdapat 8 packet data yang terblok dan muncul di verifikasi.
Konfigurasi access list di interface(gate out).
Verifikasi
- Lakukan ping dari PC(network 192.168.1.0) ke Server, interface(gate out), interface(gate in) pada MLS dan cek show access-lists pada MLS.
Berhasil, karena di interface(gate in), tidak di set access listnya, jadi MLS belum melakukan penyaringan paket data di interface ini.
Berhasil?, Mengapa berhasil?, Apa ada konfigurasi yang kurang atau salah?
Tidak, memang benar hasilnya adalah berhasil. Tapi, bukan berarti konfigurasi yang tadi salah lalu interface ini tidak melakukan tugasnya dengan benar seperti pada interface(gate in) saat di set untuk access list. Secara teknis, saya tahu sebabnya tapi untuk detailnya, saya kurang tahu.
Ada 2 faktor yang menyebabkan hal ini(menurut saya).
Pertama, disebabkan oleh fungsi router itu sendiri. Seperti yang kita tahu, fungsi router adalah menghubungkan jaringan berbeda. (setahu saya)Jika sebuah network menjadikan salah satu interface pada router sebagai gatewaynya, maka network tersebut dapat berkomunikasi dengan interface router yang lain(jika keadaannya up up atau keadaan menyala dan terhubung dengan jaringan lain), walaupun sudah berbeda network.
Walaupun bisa berkomunikasi/terhubung dengan interface router lain yang berbeda network, tapi network tersebut belum tentu benar-benar bisa terhubung dengan network dari interface yang lain.
Silahkan anda perhatikan gambar diatas.
Network A menjadikan router A sebagai gatewaynya, kemudian dia mencoba mengirimkan paket data(PING), paket data tersebut bisa mencapai network B(karena menjadikan router A sebagai gatewaynya juga), tapi tidak dapat mencapai router B/network C. Apapun alasannya(paket data Network A tidak dapat mencapai network C), Network A tetap bisa mengirim paket data kesemua interface pada router A, termasuk interface yang sudah termasuk dalam network C(network yang tidak terhubung dengan network A) sekalipun.
Kesimpulannya, Jika sebuah network menjadikan router sebagai gatewaynya, maka network tersebut bisa mengirimkan paket data kesemua interface router yang aktif dan terkoneksi, sekalipun network tersebut tidak terhubung dengan network dari interface tersebut. Sama halnya seperti Network A dan Network C.
Ket : Panjelasan saya diatas yang menggunakan router sebagai contoh, hal itu juga sama berlaku untuk MLS.
Kedua, konfigurasi pada interface(gate in) MLS.
Mirip penjelasan saya diatas, (kenapa mirip? Karena contoh yang saya berikan diatas sedikit berbeda dengan yang berada dalam topologi saya) jika diatas saya menjelaskan network yang dapat mengirimkan paket data atau terhubung dengan semua interface yang ada pada router jika network tersebut menjadikan router tersebut sebagai gatewaynya, maka sekarang masalahnya adalah network 192.168.1.0 tidak menjadikan MLS sebagai gatewaynya(secara langsung). Network 192.168.1.0 perlu melakukan routing untuk bisa terhubung dengan MLS. Tapi mengapa bisa hasilnya sama(seperti network A dengan network C)?
Hal ini dikarenakan konfigurasi pada interface(gate in) pada MLS, yaitu tidak mendrop atau membuang paket data dari network 192.168.1.0 atau dengan kata lain tidak di set untuk access list, jadi paket data tersebut bisa mencapai interface(gate in) pada MLS. Karena network 192.168.1.0 melakukan (atau lebih tepatnya di)routing untuk bisa terhubung dengan MLS, maka saat paket data bisa mencapai interface(gate in) pada MLS, network 192.168.1.0 secara tidak langsung menjadikan interface(gate in) MLS sebagai gatewaynya untuk bisa terhubung dengan network lain yang terhubung di MLS. Itu sebabnya, paket data dari network 192.168.1.0 tetap bisa mencapai interface(gate out) MLS yang sudah di set untuk access list, sama halnya seperti Network A dengan Network C.
Bisa anda lihat bahwa paket data yang diblock atau dibuang oleh standard access list menjadi 24, dan paket data yang berhasil lewat tidak ada, Mengapa? Karena, paket data yang dikirimkan saat tadi melakukan verifikasi belum keluar dari MLS(tempat konfigurasi access list), tujuan ping yang berhasil tadi adalah interface MLS, tidak melebihi itu, jadi tidak dianggap melewati access list pada MLS.
Konfigurasi access list di kedua interface(gate in dan out). Sebenarnya sama saja seperti kedua konfigurasi diatas, hanya perlu digabung saja-_-.
- Lakukan ping dari PC(network 192.168.1.0) ke Server, interface(gate out), interface(gate in) pada MLS dan cek show access-lists pada MLS.
 |
| PC > Server |
 |
| PC > interface(gate in) |
 |
| PC > interface(gate out) |
Tidak, memang benar hasilnya adalah berhasil. Tapi, bukan berarti konfigurasi yang tadi salah lalu interface ini tidak melakukan tugasnya dengan benar seperti pada interface(gate in) saat di set untuk access list. Secara teknis, saya tahu sebabnya tapi untuk detailnya, saya kurang tahu.
Ada 2 faktor yang menyebabkan hal ini(menurut saya).
Pertama, disebabkan oleh fungsi router itu sendiri. Seperti yang kita tahu, fungsi router adalah menghubungkan jaringan berbeda. (setahu saya)Jika sebuah network menjadikan salah satu interface pada router sebagai gatewaynya, maka network tersebut dapat berkomunikasi dengan interface router yang lain(jika keadaannya up up atau keadaan menyala dan terhubung dengan jaringan lain), walaupun sudah berbeda network.
Walaupun bisa berkomunikasi/terhubung dengan interface router lain yang berbeda network, tapi network tersebut belum tentu benar-benar bisa terhubung dengan network dari interface yang lain.
Silahkan anda perhatikan gambar diatas.
Network A menjadikan router A sebagai gatewaynya, kemudian dia mencoba mengirimkan paket data(PING), paket data tersebut bisa mencapai network B(karena menjadikan router A sebagai gatewaynya juga), tapi tidak dapat mencapai router B/network C. Apapun alasannya(paket data Network A tidak dapat mencapai network C), Network A tetap bisa mengirim paket data kesemua interface pada router A, termasuk interface yang sudah termasuk dalam network C(network yang tidak terhubung dengan network A) sekalipun.
Kesimpulannya, Jika sebuah network menjadikan router sebagai gatewaynya, maka network tersebut bisa mengirimkan paket data kesemua interface router yang aktif dan terkoneksi, sekalipun network tersebut tidak terhubung dengan network dari interface tersebut. Sama halnya seperti Network A dan Network C.
Ket : Panjelasan saya diatas yang menggunakan router sebagai contoh, hal itu juga sama berlaku untuk MLS.
Kedua, konfigurasi pada interface(gate in) MLS.
Mirip penjelasan saya diatas, (kenapa mirip? Karena contoh yang saya berikan diatas sedikit berbeda dengan yang berada dalam topologi saya) jika diatas saya menjelaskan network yang dapat mengirimkan paket data atau terhubung dengan semua interface yang ada pada router jika network tersebut menjadikan router tersebut sebagai gatewaynya, maka sekarang masalahnya adalah network 192.168.1.0 tidak menjadikan MLS sebagai gatewaynya(secara langsung). Network 192.168.1.0 perlu melakukan routing untuk bisa terhubung dengan MLS. Tapi mengapa bisa hasilnya sama(seperti network A dengan network C)?
Hal ini dikarenakan konfigurasi pada interface(gate in) pada MLS, yaitu tidak mendrop atau membuang paket data dari network 192.168.1.0 atau dengan kata lain tidak di set untuk access list, jadi paket data tersebut bisa mencapai interface(gate in) pada MLS. Karena network 192.168.1.0 melakukan (atau lebih tepatnya di)routing untuk bisa terhubung dengan MLS, maka saat paket data bisa mencapai interface(gate in) pada MLS, network 192.168.1.0 secara tidak langsung menjadikan interface(gate in) MLS sebagai gatewaynya untuk bisa terhubung dengan network lain yang terhubung di MLS. Itu sebabnya, paket data dari network 192.168.1.0 tetap bisa mencapai interface(gate out) MLS yang sudah di set untuk access list, sama halnya seperti Network A dengan Network C.
 |
| MLS |
Konfigurasi access list di kedua interface(gate in dan out). Sebenarnya sama saja seperti kedua konfigurasi diatas, hanya perlu digabung saja-_-.
Verifikasi, kurang lebih hasilnya akan sama dengan yang di interface(gate in), karena di konfigurasi ini, interface(gate in)nya juga ikut dikonfigurasi, jadi ya sama saja^^. Perbedaannya mungkin hanya di jumlah paket data yang diblock oleh access listnya saja.
Dengan begitu, anda telah berhasil mengkonfigurasi Standard access list.
Standard Access List Blocking IP Address
Setelah tadi anda berhasil konfigurasi Access list untuk sebuah network atau IP network, sekarang kita akan coba konfigurasi standard access list untuk IP address. Jadi, konfigurasi kali ini akan lebih spesifik atau lebih mendetail lagi, yaitu untuk mendrop paket data dari sebuah ip address.
*oke, langsung saja
Topologi
Kita gunakan topologi yang sama seperti sebelumnya. Kemudian konfigurasi agar semua device terhubung. Set dengan menggunakan routing, jangan lupa.
Konfigurasi Access List
Konfigurasinya hampir sama, hanya yang membedakan adalah kalau sebelumnya menggunakan IP network, sekarang kita ganti dengan menggunakan ip address pada command atau perintahnya.
Ket :
- Angka 99, kita coba ACL Number yang berbeda dengan yang sebelumnya, selama masih dalam range untuk standard access list.
- 192.168.1.2, ip address yang akan kita block/drop paket datanya. IP ini adalah ip address milik PC, jadi paket data dari pclah yang akan kita drop.
- 0.0.0.0, bukan berarti ip tersebut menggunakan prefix 32 atau 255.255.255.255. 0.0.0.0 ini berarti, berapapun prefixnya ip address ini(192.168.1.2), paket datanya akan tetap di drop oleh MLS.
Tentukan interface yang akan di set untuk access list
Sama seperti sebelumnya, kali ini pun kita harus menyetting interface untuk access list. Apakah di interface(gate in), interface(gate out), atau keduanya.
Kali ini, saya akan mengaturnya di interface(gate out). Hal ini saya lakukan untuk berjaga-jaga apabila saya ingin menambahkan network baru di MLS, dengan saya menyettingnya di interface(gate out), maka PC tetap bisa mengirimkan paket data ke network baru yang ada di MLS, begitu juga sebaliknya.
Verifikasi
Lakukan ping dari PC ke server dan interface(gate out), kemudian cek access list di MLS dengan menggunakan perintah show access-lists, terakhir, tambahkan PC1 di topologi, set ip address dan gatewaynya, kemudian lakukan ping ke server dan cek kembali MLSnya.
 |
| PC > server |
 |
| PC > interface(gate out) |
 |
| MLS |
Ada 4 paket data yang terblock, atau di drop oleh access list. Sesuai dengan yang percobaan tadi.
 |
| PC1 > server |
Berhasil, karena paket data dari ip address ini, tidak di set untuk di drop oleh MLS.
Ada 4 file yang berhasil, diloloskan atau diforward oleh access list yang ada di MLS.
Sekian dari saya, mohon maaf apabila banyak salah, akhir kata . . .
Wassalamu'alaikum wr wb
Wassalamu'alaikum wr wb
Pertamax gan :v
BalasHapusKedua
Hapus